Windowsサーバで証明機関を構築する場合、証明機関の種類を検討する必要があります。

ちなみに、証明機関は様々な名称があります。「証明機関」から始まり、「CA局」、「認証局」・・・などなど。マイクロソフトの公式サイトを見ても、ルート証明機関と書かれていたり、ルートCAと書かれていたりしますが、すべて同じものを指します。

では、証明機関の種類を検討する際に、企業内に証明機関の有/無を調査します。

【証明機関が存在しない】
証明機関が存在しない場合は、ルート証明機関を構築する必要があります。この場合も、ルート証明機関だけ構築するのか、はたまた、複数の証明機関を構築するのかで分かれます。

　・ルート証明機関（ルートCA）
　・下位の証明機関（下位CA）

まず、①のルートCAは、「スタンドアロンCA」または「エンタープライズ CA」のいずれかで構築できます。
※スタンドアロンCAとエンタープライズCAについては、別途説明します。

 

マイクロソフトの説明によると、「組織に複数のCA がある場合、多くの組織では、下位の CA 証明書に対する要求を処理する必要がある場合を除いて、ルート CA をオフラインのままにしておくことで、ルート CA の公開を最小限に抑えます。」とあります。

証明機関を複数構築すると、構築・運用コストがかかる為、ルートCA局だけ構築する事もできます。これまでは費用や用途などから、CA局を階層構成で構築した事はありませんが、費用に余裕があるなら、複数構築しておく事で（MS推奨）被害を抑えることができるとあります。

この階層構成のメリットについては、マイクロソフトの公式サイトにいくつか書かれています。

 

公開キー基盤（マイクロソフト）

Public Key Infrastructures | Microsoft Docs

以下は抜粋です。

使用方法：
証明書は、セキュリティで保護された電子メールやネットワーク認証など、さまざまな目的で発行されることがあります。これらの用途の発行ポリシーは異なる場合があるため、分離することによって、ポリシーごとに管理する基盤を得ることができます。

組織上の区分：
組織内のエンティティのロールによって、証明書の発行ポリシーが異なることがあります。ここでも、下位 CA を作成することによって、ポリシーごとに分離して管理することができます。

地理上の区分：
組織には、複数の物理的な拠点がある場合があります。多くの拠点またはすべての拠点では、これらの拠点間のネットワーク接続に、個別の下位 CA が必要なことがあります。

負荷分散：
大量の証明書を発行および管理するために PKI が使用されている場合、CA が 1 つだけでは、その CA に対するネットワーク負荷が非常に大きくなります。同じ種類の証明書を発行するために複数の下位 CA を使用することにより、ネットワーク負荷を複数の CA に分散できます。

バックアップおよびフォールト トレランス：
複数の CA を持つことにより、ユーザーの要求に応答するために使用できる稼働中の CA が常にネットワークに存在する確立が高まります。

CA 階層には、次のような管理上の利点もあります。

セキュリティと操作性のバランスを調整できるように柔軟に構成された CA セキュリティ環境：
たとえば、ルート CA に対して特別な目的の暗号化ハードウェアを採用し、物理的に保護された領域やオフラインで運用することができます。これは、コストや操作性の関係で、下位 CA に対しては適用できない場合があります。

確立された信頼関係に影響を与えることなく、CA 階層の特定の部分を "オフにする" 機能。
たとえば、組織の他の部分に影響を与えることなく、特定のビジネス ユニットに関連する CA 証明書の発行を簡単にシャットダウンしたり拒否したりできます。

ここまでが抜粋ですが、要約すると階層化のメリットとは、以下ような感じですかね。

・用途ごとに下位のCA局を分ける事ができる（証明書の管理が容易になる。）
・サーバの負荷分散
・可用性が高まる
・証明機関の停止や拒否を部分影響にとどめる事が可能

大規模で予算が有り余っている場合だと複数構築するのもありだと思いますが、中小規模、予算がそれほどない場合は、階層化できない場合も多いと思いますので、これはケースバイケースになりますね。

この辺りは真剣に考え出すと止まらないので、個人的にはシンプルな構成が一番だと思います。

次回は、エンタープライズCAとスタンドアロンCAについて言及したいと思います。